資安SOC監控,相信大家都不陌生,簡單地說,就是把資安設備日誌記錄,如防火牆、入侵偵測系統、網頁應用防火牆、防毒軟體系統及AD等日誌,進行收集、關聯分析,當分析為異常事件後,即發出資安告警,以實施防禦應變措施。
但是,當您已經上Azure雲端後,並不會有這些地端資安設備,取而代之的是使用Azure相關服務來架構雲端安全,而這些雲端服務是要如何來進行資安SOC監控呢?雲端上又有哪些日誌記錄呢?以下我們以Azure雲端環境來說明:
Azure雲端上有哪些記錄?
Azure雲端可用的記錄可分成以下三類:
- 活動記錄
Azure平台操作記錄,可提供訂用帳戶層級事件的深入解析, 例如:修改資源或啟動虛擬機器時的資訊,通常可以做為稽核使用,讓我們知道誰(Who)在什麼時間(When)做什麼事(What)。 - Azure AD記錄
包含登入Azure平台活動的歷程記錄,以及在特定使用者的 Azure Active Directory中所做變更的稽核記錄,例如:一週內有多少使用者登入?登入的狀態為何?和從哪裡登入。 - 資源記錄
資源記錄的內容會依 Azure服務和資源類型而有所不同,例如儲存體帳戶、網路安全群組等有資源記錄。
如何收集、保留及分析
根據您的監控分析需求,將Azure記錄傳送到不同目的地,以作為分析或保留用途,您可藉由建立診斷設定來設定記錄檔傳送到三個不同目的地。
- Log Analytics工作區
適用於使用Azure原生分析服務,例如Sentinel SIEM、監視器、網路監看員。 - Event Hub(事件中樞)
適用於將記錄資料傳送到Azure外部,例如協力廠商SIEM或其他Log Analytics 解決方案。 - Azure儲存體
適用於將記錄封存以進行稽核或長期保留,Azure記錄預設上不會留存太久。
Azure雲端記錄傳送、分析、計費模式
計費模式依不同傳送和分析會有不同,主要是資料量來計價,會有傳送(擷取)加上分析(目的地)資料量,計價有兩種,每GB的Pay as you go (PAYG) 的計價,和承諾量的計價。
我們以下表來說明:
透過Azure Sentinel作資安SOC監控,以PAYG的計價,每GB為$168/GB,如以每月承諾量100GB,每GB為$116/GB,每GB單價降低,適用於每月資料量至少100GB。給外部協力廠商資安SOC監控,以ArcSight SIEM為例,費用上有Event Hub、流量費和部署前端收集器SmartConnect的Functions服務費用。當然這不包括外部協力廠商的SOC服務費用。只有封存記錄不作分析,費用上只有Blob儲存費。 
*表中價格數字僅供參考,實際價格以Azure價格為主。
Azure SIEM介紹 - Sentinel
Azure Sentinel 是一項雲端原生安全性資訊與事件管理員(SIEM)平台,除了Azure記錄來源外,還可使用CEF和Syslog等開放標準格式來收集分析任何來源資料,例如內部部署的記錄來源,使用內建AI來協助快速分析,並針對警示偵測、威脅可見性、主動式搜捕及回應威脅提供單一解決方案。詳細說明請參考Azure Sentinel介紹。
結語
上述以Azure雲端記錄傳送、分析、計費模式,讓您了解到如何做到雲端資安監控,而這只是雲端安全的其中一部分,旨在幫助您的雲端更安全,若想知道更多或有架構雲端安全的需求,請與我們聯繫。
